電影《黑客帝國》通過講述主角——一名網(wǎng)絡(luò)黑客與名叫“母體”的計(jì)算機(jī)人工智能系統(tǒng)之間的“真實(shí)”較量,為我們呈現(xiàn)了一場精彩的、跨世紀(jì)的“人機(jī)對決”大戰(zhàn)。
這部1999年就上映的電影,在當(dāng)時(shí)無疑是一次跨世紀(jì)的想象。然而,數(shù)字時(shí)代的今天,我們已然發(fā)現(xiàn)這樣的想象正在一步步走向現(xiàn)實(shí)。
我們離“黑客帝國”的距離還遠(yuǎn)嗎?
回到當(dāng)下,我們發(fā)現(xiàn),其實(shí)“人機(jī)大戰(zhàn)”早已在現(xiàn)實(shí)生活中不斷上演。與電影《黑客帝國》不同的是,現(xiàn)實(shí)中的“人機(jī)大戰(zhàn)”往往都是“人人大戰(zhàn)”,是有人在背后操控機(jī)器或工具發(fā)起攻擊或防護(hù),也就是我們熟知的攻防對抗。
隨著AI技術(shù)的不斷完善,不法分子借助機(jī)器/工具,發(fā)起大規(guī)模、快速、自動(dòng)化攻擊越來越頻繁。根據(jù)Distil Networks發(fā)布的報(bào)告顯示,機(jī)器流量約占全網(wǎng)流量的40%,其中惡意機(jī)器流量約占20%。
因此,企業(yè)/組織作為防守方,如何快速、有效識別人機(jī)并進(jìn)行管控,是應(yīng)對許多網(wǎng)絡(luò)安全攻擊的有效手段之一。而事實(shí)上,據(jù)權(quán)威調(diào)查數(shù)據(jù)顯示,在網(wǎng)絡(luò)安全攻擊中,80%都是源于身份攻擊。
基于此,派拉軟件身份安全管理平臺再添新能力,在用戶注冊、登錄、登錄短信發(fā)送、密碼找回等身份安全場景中,注入人機(jī)識別能力,有效加強(qiáng)企業(yè)/組織身份威脅檢測與防護(hù)。
以遭遇攻擊最多的用戶登錄場景為例,通常這里的攻擊需要借助自制的自動(dòng)化工具,也可以理解為機(jī)器人。那機(jī)器人怎么攻擊呢?
我們都知道,用戶登錄需要的關(guān)鍵信息是賬號與密碼。不法分子要獲取這些賬號與對應(yīng)密碼的方式有很多種。其中,人機(jī)通常是最常用,也是最便捷的一種方式。
成熟的攻擊者往往會(huì)借助人機(jī)有效的在登錄各場景中發(fā)起各種攻擊,如驗(yàn)證碼爆破,賬號、密碼爆破,滑塊驗(yàn)證爆破等等。
而在所有的人機(jī)攻擊中,驗(yàn)證碼的爆破識別屬于第一步。為什么這么說呢?因?yàn)楹芏鄠鹘y(tǒng)產(chǎn)品往往會(huì)通過對認(rèn)證登錄監(jiān)測頁面強(qiáng)制增加二次認(rèn)證來降低第一步的人機(jī)攻擊。
也就是說在你進(jìn)入系統(tǒng)登錄界面之前,就開啟一次驗(yàn)證。這種一刀切的方法,的確可以降低人機(jī)攻擊的行為,但也會(huì)造成很大的誤殺。
為了解決這種一刀切帶來的問題,派拉軟件很早提出了多因素身份認(rèn)證平臺,通過設(shè)置各種潛在的威脅場景策略,只有當(dāng)用戶觸發(fā)威脅策略時(shí),才開啟加強(qiáng)驗(yàn)證保護(hù)。比如,在你密碼多次錯(cuò)誤后,自動(dòng)開啟加強(qiáng)驗(yàn)證,如滑塊、短信驗(yàn)證等。
但這里其實(shí)也存在很多問題。比如,不法分子通過機(jī)器人不斷的進(jìn)行惡意登錄發(fā)短信,你想想要是你領(lǐng)導(dǎo)不停的收到驗(yàn)證短信,是不是會(huì)抓狂?
所以,從一開始就識別出人機(jī),并在整個(gè)登錄場景中持續(xù)人機(jī)監(jiān)測才是真正有效解決問題的關(guān)鍵。
為此,派拉軟件身份安全再增新能力。
當(dāng)有人開始訪問企業(yè)應(yīng)用系統(tǒng)時(shí),系統(tǒng)通過內(nèi)置派拉軟件UEBA能力,自動(dòng)采集有關(guān)用戶的行為指標(biāo),比如:UA、分辨率、操作系統(tǒng),點(diǎn)擊坐標(biāo)、鼠標(biāo)滑動(dòng)速度、加速度、離散度等15個(gè)指標(biāo),并對采集到的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,繪制出當(dāng)前用戶設(shè)備的行為路徑分析模型。
我們都知道,大多數(shù)情況下,機(jī)器只能按照預(yù)設(shè)的指令執(zhí)行攻擊行為,不能處理預(yù)設(shè)以外的交互信息。UEBA系統(tǒng)通過對人機(jī)在應(yīng)用系統(tǒng)的登錄、注冊流程中不同操作行為的研究分析,提出以統(tǒng)計(jì)模型為核心的人機(jī)行為檢測方法。
當(dāng)采集到的行為數(shù)據(jù)符合正常用戶設(shè)備、行為時(shí),系統(tǒng)自動(dòng)放行用戶正常進(jìn)入下一步操作,也就是系統(tǒng)正常賬號密碼登錄界面。但若出現(xiàn)異常,則啟動(dòng)進(jìn)一步驗(yàn)證或直接阻截。
整個(gè)人機(jī)行為檢測與識別會(huì)貫穿整個(gè)用戶登錄過程中,即從用戶通過設(shè)備點(diǎn)擊系統(tǒng)應(yīng)用鏈接那一刻,到進(jìn)入登錄界面,再到輸入賬號密碼、忘記密碼等,以及最后的登錄成功。
其中的每一個(gè)操作、行為都會(huì)自動(dòng)無感化的進(jìn)行人機(jī)監(jiān)測識別與分析,從而加強(qiáng)全流程的用戶登錄場景下的安全防護(hù)。
殺手锏1:動(dòng)靜結(jié)合的分析模型
當(dāng)然,這樣每一步都要進(jìn)行無感化的人機(jī)檢測,肯定要保證系統(tǒng)的準(zhǔn)確性。
為此,派拉軟件通過對人機(jī)攻擊場景的深度研究發(fā)現(xiàn),在傳統(tǒng)利用統(tǒng)計(jì)算法進(jìn)行模型訓(xùn)練的基礎(chǔ)上,對UEBA模型設(shè)計(jì)方面加入了兩部分優(yōu)化:
一方面,UEBA在模型訓(xùn)練階段加入模型調(diào)優(yōu)步驟,通過配置超參的方式,來動(dòng)態(tài)調(diào)整統(tǒng)計(jì)閾值,以此平衡因極端值造成的統(tǒng)計(jì)模型偏差;
另一方面,根據(jù)模型訓(xùn)練結(jié)果結(jié)合安全經(jīng)驗(yàn),提供靜態(tài)的安全閾值。安全閾值在檢測中作為基線閾值來輔助動(dòng)態(tài)統(tǒng)計(jì)閾值完成人機(jī)行為識別。
通過這種動(dòng)靜結(jié)合的方式,不僅有效提升模型訓(xùn)練階段的準(zhǔn)確度,同時(shí)還能提升模型檢測效率。
殺手锏2:網(wǎng)關(guān)代理,應(yīng)用0改造
保證了人機(jī)檢測的準(zhǔn)確率,在系統(tǒng)部署層面,派拉軟件也提出了更加簡便、低成本、無縫對接的輕量改造交付方案。
我們都知道在人機(jī)行為識別場景中,二次驗(yàn)證是必不可少的環(huán)節(jié)。人機(jī)模型對當(dāng)前實(shí)體(設(shè)備、用戶以及來源IP等)進(jìn)行異常識別,一旦發(fā)現(xiàn)當(dāng)前實(shí)體(設(shè)備、用戶以及來源IP等)存在人機(jī)攻擊行為,系統(tǒng)就會(huì)調(diào)用二次驗(yàn)證,對當(dāng)前實(shí)體進(jìn)行增強(qiáng)認(rèn)證。
傳統(tǒng)方案中,二次驗(yàn)證部分需要被檢測的應(yīng)用來配合實(shí)現(xiàn)。這就涉及到人機(jī)檢測模型與被監(jiān)測應(yīng)用的對接改造。所以,在人機(jī)識別方案中,不僅要考慮到企業(yè)的安全檢測需求,同時(shí)還需要考慮能否在復(fù)雜的應(yīng)用場景中完成輕量交付。
派拉軟件UEBA人機(jī)方案在設(shè)計(jì)中,充分考慮到應(yīng)用服務(wù)的差異性,提出網(wǎng)關(guān)組件方案,由網(wǎng)關(guān)承載被監(jiān)測應(yīng)用與人機(jī)模型的交互,以此解決因應(yīng)用老舊或改造工作量大導(dǎo)致人機(jī)模型方案無法落地使用問題,讓企業(yè)實(shí)現(xiàn)真正的無縫對接、輕量部署。
當(dāng)然,這樣的身份安全防護(hù)能力與人機(jī)識別能力還可以用于惡意注冊、批量注冊等系列場景中。實(shí)際上,派拉軟件身份安全檢測與防護(hù)能力已經(jīng)覆蓋了賬號注冊、用戶登錄、單點(diǎn)認(rèn)證、應(yīng)用訪問,也就是用戶應(yīng)用系統(tǒng)訪問的全過程。
而派拉軟件也在持續(xù)基于2000+客戶身份安全建設(shè)與服務(wù)實(shí)戰(zhàn)經(jīng)驗(yàn),貼合客戶實(shí)際業(yè)務(wù)安全需求,針對性的不斷完善不同業(yè)務(wù)應(yīng)用場景下身份安全檢測AI大模型,通過持續(xù)的學(xué)習(xí),不斷優(yōu)化。